複雑なサイバー戦略が企業の重大リスクになっていませんか？

サイバーセキュリティ対策ツールとアプリケーションは、ここ数年の間に⾼度化し、スピードや有効性においても進化を遂げています。こうした技術面の向上は、企業によるセキュリティ投資が拡大していることが要因のひとつに挙げられます。Pitchbookのデータによると、サイバーセキュリティへの支出は2010年から2022年までの間に1兆3,000億⽶ドルに達し、年平均成⻑率は16.6%を記録しています。

今回の調査結果から、新テクノロジー導⼊の波が到来し、企業の84%が、サイバーセキュリティの既存の対策に複数の新しい技術的対策を加える初期段階にあることが分かりました。ところが⽪⾁なことに、セキュリティ対策の拡大と複雑化により、可視化できなくなっており、有効性が損なわれつつあります。「技術的対策の複雑さが増せば増すほど、的確に予兆を捉え、問題に迅速に対処することが難しくなる」とEY Globalおよび EY Asia-PacificのCybersecurity Consulting LeaderであるRichard Watsonは指摘しています。

技術的対策を単⼀のプラットフォームに集約し、ベンダーの製品数を減らすことで統合を容易にした結果、攻撃の検出がスムーズに進むようになり、セキュリティチームがインシデントをより効率的に検知できるようになりました。

CISOに求められるのは、サイバーセキュリティの技術的対策を会社全体に導⼊する際に、既存のシステムを合理化し、今やビジネスに欠かせないものとなったクラウドやエコシステムパートナーシップなどにおけるサイバーセキュリティ⾯のニーズに対処し、最大限の⾃動化を図るための総合的なテクノロジー戦略を策定することです。セキュアクリエイターは、まさにこうした戦略を推進しています。セキュアクリエイターは、まさにこうした戦略を推進しています。

本調査結果によると、セキュアクリエイターの70%が、先端技術の早期導⼊者であると回答し、特に、⾃動化によるテクノロジー環境の簡素化を重視し、⾼度なソリューションを導入しています。同グループは、⼈⼯知能（AI）や機械学習（ML）をすでに利⽤している、または導⼊後期段階であるとの回答が多く（セキュアクリエイター：62%、プローンエンタープライズ：45%）、セキュリティ運⽤業務の効率化や⾃動化を実現するためのテクノロジーやソリューションであるSOAR（Security, Orchestration, Automation and Response）についても同様に回答しています（同52%、同37%）。セキュアクリエイターのこうした戦略は、組織横断的でシームレスな防御態勢の構築と、サイバーセキュリティインシデントの確実な検知につながっています。 

セキュアクリエイターは、自社のサイバーセキュリティ対策によって脅威の変化への適応力が向上したと回答する割合も高い傾向にあります（45%がプラスの影響があると回答）。⼀⽅、プローンエンタープライズでは、上記と同じ回答が34%にとどまり、また36%が⾃社の対策が対応⼒にマイナスの影響を与えていると回答しました。どの企業も同様の先端技術を活⽤する今、サイバーリーダーには、サイバーセキュリティの簡素化を念頭に技術面の戦略を策定し、確実に実行に移すことが求められています。特に、EYでは以下のアクションを推奨しています。

• 既存のサイバーセキュリティ技術を簡素化・合理化して総コストを削減し、シームレスでスピーディーな運⽤を実現するプラットフォームを構築する。
• 最新技術の導入に際し、重複した、あるいは統合が不⼗分なレガシーシステムがないかチェックする。
• 複数の個別対策ではなく、簡素化かつ⾃動化された、サイバーセキュリティ対策を採⽤する。
• 新たなリスクを招いたり、テクノロジー環境全体を複雑にしたりすることなく、新たな機能をいち早く採⽤する。
• DevSecOpsやSOARを含め、⾃動化主導の対策を検討する。
• コストの効率化を図りながら、インフラを簡素化し、可視性を高めるコソーシングやマネージドサービスを活用する。

回答企業が認識しているサイバーセキュリティ対策の課題として最も多かったのは、「アタックサーフェスが多すぎること」でした。企業は、⼤規模なクラウド移⾏やIoT化を進めていますが、そうした取り組みがサイバー侵害の可能性を高めています。さらに、既存のエコシステム型ビジネスモデルは、企業価値の向上に資するものの、サイバーセキュリティ対策においては大きな課題があります。こうしたことから、53%のサイバーリーダーは、現在のデジタルエコシステムに安全な境界線などないと感じています。中でも、サプライチェーンは、サイバーリスクが極めて高く、2021年に発⽣したシステム侵⼊インシデントの62%を占めています³。

クラウドおよびIoTの導入に伴うリスクを軽減する

回答者の4人中3人が、今後5年間の最⼤のテクノロジーリスクにクラウドとIoTを挙げています。クラウド化が進むにつれ、アタックサーフェスは驚異的に拡⼤しています。サイバー攻撃の脅威は加速的に変化し続けており、企業は後れを取らないための取り組みを進めています。このように急速に変化するセキュリティ環境下では、クラウドインターフェースやクラウド環境周りの設計やプランニングを⼗分に⾏わずに、クラウドやIoTの導⼊を進めてしまうと、企業はデータの損失や侵害、事業の中断といった事態にさらされる恐れがあります。こうした複雑な状況を乗り越える上で企業に必要なのは⾃動化の活⽤です。例えば、本調査でも、セキュアクリエイターのCISOの半数が、サイバーセキュリティの技術的対策をオーケストレーションし自動化プロセスを確立している、あるいはその導⼊後期段階にあると回答しています。

また、⾃社のサイバーリスクはすべてクラウドプロバイダーが対処してくれていると考えることは賢明ではありません。これに関して、Ernst & Young LLP Cybersecurity ConsultingのパートナーであるCarolyn Schreiberは次のように述べています。「クラウドセキュリティにおいて、特に本⼈確認とアクセスに関する責任はプロバイダーとユーザーの両方にあります。クラウドへの移行においては、誤設定がよく⾒受けられますが、それは追加の設定も必要であることを⽰しており、単に『現設定を取り出して移⾏する』だけでは不十分です。検討すべき主な事項は、権限昇格攻撃の防⽌を⽬的とした特権アクセス管理、機密情報の管理、およびラテラルムーブメント（⽔平展開）の阻⽌です。EYがサポートしたクライアントの事例によると、セキュアクリエイターのほとんどが、契約書の細部まで注意深く読み、⾃組織が定めたセキュリティ基準と同じ基準に準拠するよう、クラウドサービスプロバイダーに求めています。クラウドへの移行を進める際には、社内のセキュリティチームとクラウドサービスプロバイダーの両⽅に責任を課すことが、クラウドプラットフォームとクラウドコンテナのセキュリティ管理のリスク軽減において重要となります」

サイバーリスクの定量化は、⾃動化やデータ分析を通じて洞察を提供し、リスクの優先順位付けを促進することが期待される新たな領域です。企業の経営陣や取締役会は、サイバーセキュリティやデジタルリスクについて言及する場面も多くなり、理解を深めようとする姿勢がうかがえます。こうしたアプローチは、CISOがこれまで⾏ってきた単なる技術面のアップデートを提供するよりもはるかに説得⼒があります。 

サプライチェーン：早期に関与し、継続的にモニタリングする

今ではあらゆる企業が、自社のサプライチェーンに属する事業者とデジタルで密接に結び付いています。サイバー攻撃者は、最も脆弱なリンクを探す際に「一対多」の戦略を利用して何千もの組織への侵入を図っています。これに関して、EY Global Cybersecurity Transformation LeaderのRichard Bergmanは、次のように述べています。「過去5年間で、サプライチェーンを狙ったサイバー攻撃が急増しています。もし、30,000社もの企業に主要ソフトウェアを提供しているサプライチェーンの大手企業に不正アクセスすることができれば、サイバー攻撃者はその30,000社に侵⼊できます」。

このような深刻な事態が想定されるにもかかわらず、プローンエンタープライズは財務リスクのほうを重視する傾向が見られます（同グループ：52%、セキュアクリエイター：41%）。一方、セキュアクリエイターでは、サプライチェーンがもたらすリスク（38%対20%）や、知的財産保護などの関連リスクを強く懸念する傾向が高く、その割合はほぼ2倍に及びます（38%対24%）。もちろん、リスクを認識することは最初のステップですが、CISOは⾃社のサプライチェーンを整備して、単発的ではなく、継続的にベンダーのレジリエンスを把握する必要があります。こうした可視化をサプライチェーン内のアタックサーフェス全体にわたり担保するには、最⾼執⾏責任者（COO）やその他の経営幹部らとの連携を深めることが不可⽋となります。成熟度が比較的高い企業では、セキュリティ部⾨がベンダーの選定に関与し、セキュリティに関する保証や基準を設けて、組織内で継続的に管理しています。そうした中で、COOとCISOの視点の対立が生じる可能性があります。例えば、COOはサイバーセキュリティ上の懸念によってビジネスの成⻑機会が阻害されると感じ、CISOは組織のセキュリティを担う者として自身の役割や貢献が十分に評価されていないと感じることがあるかもしれません。しかし、両者の連携なくしては、真のレジリエンスを実現することはできません⁴。

セキュアクリエイターの企業では、組織全体をつなぐコミュニケーションネットワークが確立しています。経営幹部、サイバーセキュリティチーム、⼀般従業員という3つの異なる層で、それぞれのステークホルダーと密接にコミュニケーションを図っており、サイバーセキュリティの「⼈的要因」の重要性を明確に認識しています。

経営幹部とのコミュニケーション

CISOの役割と言えば、これまで、セキュリティの運⽤や技術関連の対応が中⼼となっていました。しかし、サイバーセキュリティの成熟度が比較的高い企業では、サイバーセキュリティ専門の部署や機能を設置し、担当者が経営幹部の意思決定に参加しています。今回の調査結果によると、そうした役割がますます重要視されようになったことで、CISOは今日の⾼リスクな環境で必要となるリソースを広範に確保できていることが明らかになっています。かつては最⼤の課題であった予算も、今年度の調査では8つの阻害要因中6位にランクダウンしています。サイバーセキュリティは、企業のレジリエンス（回復⼒）、レピュテーション、コンプライアンスに関わる基本的な問題であると認識され、徐々に幅広いサポートを得られるようになってきています。

予算は極めて重要な要素ですが、サイバーセキュリティを組織全体に組み込む必要性も忘れてはなりません。そのためには、経営幹部の賛同や、認識のギャップの是正、CISOと経営幹部間の密接なコミュニケーションが⽋かせません。しかし、今回の調査結果では、両者の認識が必ずしも⼀致していないことが明らかになっています。経営幹部と⽐べ、CISOは⾃社のサイバーセキュリティ対策全体の有効性と、将来のサイバー脅威に対処する能⼒に満⾜している⼈が少ないという傾向が見られます（前者：CISOが36%、経営幹部が48%、後者：同38%、同54%）。

セキュアクリエイターの多くが、経営幹部による主要な経営判断へのサイバーセキュリティの組み込みに満⾜しています。同グループの企業では、プローンエンタープライズに比べ、CISOと経営幹部の認識のギャップがはるかに⼩さく、経営幹部とより効果的なコミュニケーションを取ることで、リスクについての共通認識が⽣まれ、サイバーセキュリティのパフォーマンスが向上している様⼦がうかがえます。セキュリティの有効性に対する認識が⼀致しているかどうかが、セキュリティ体制が確立している企業かどうかを見極める指標となります。ビジネス上の主要な優先課題と事業戦略にサイバーセキュリティの運⽤を組み込んでいる企業では、インシデント発生件数が減少する傾向にあります。優れた成果を挙げているCISOは、セキュリティ対策を単なる技術的側面だけでなく、リスクの低減、ビジネスへの影響、価値創造という3つの観点からも共感を呼ぶ説明を行っています。

従業員への効果的なサポート

統合型のサイバーセキュリティ対策を進める上での優先課題は、より多くの従業員にサイバーセキュリティを浸透させることです。今回の調査結果でも、サイバー攻撃を受ける最⼤の原因は、⼈為的ミスです。また、IT部⾨以外でのベストプラクティスへの準拠レベルの低さが、3番⽬に⼤きな課題となっています。

サイバー研修について、「有⽤である」と回答したサイバーセキュリティリーダーはわずか半数で、IT部⾨以外の従業員によるベストプラクティスへの準拠レベルに満⾜しているのは36%にとどまっています。こうした結果から、サイバー研修が実際にどの程度の実効性があるかについて疑問が⽣じています。そうした中、セキュアクリエイターは、プローンエンタープライズに⽐べ、サイバーセキュリティのベストプラクティスへの準拠レベルに満⾜している傾向が多く⾒られました（47%対27%）。基本を徹底することが何よりも重要であり、それを踏まえて、組織は、従業員に求めるベストプラクティスを簡素化し、プロセスのガイドラインを明示することで、コンプライアンスに依拠することなく、リスクを限定する必要があります。成熟度が比較的高い企業では、段階的な研修を定期的に実施し、自動化や防衛に特化した最新のツールを活⽤しています。サイバーセキュリティ対策を従業員一人ひとりの⼼に根付かせて、セキュリティを組織文化として浸透させることができれば、研修の実効性もベストプラクティスへの準拠も確実に促進することができるでしょう。

⼈材：既存の枠組みを超えた人材確保

サイバーセキュリティ分野の⼈材関連の課題は根強く、この1年間で、世界のサイバーセキュリティ⼈材の不⾜は2倍以上の速さで悪化しました⁵。サイバーセキュリティ分野ではスキルの向上や能力開発が進んでおらず、ほとんどの企業でアップスキリングを重要視していることが本調査で明らかになっています。⼀⽅、セキュアクリエイターは、こうした課題の対処を独自のアプローチで進めています。例えば、このグループでは、サイバーセキュリティ分野での経験がない人材の採⽤やリスキリングを重視している企業の割合が2倍高い傾向があります（同グループ：28%、プローンエンタープライズ：14%）。従来のサイバーセキュリティ人材に見られる典型的な経歴ではなく、財務やIT全般など⾃動化によって業務量が⼤幅に減った分野の人材や実習生など、さまざまな背景を持つ⼈材が採⽤の対象となっています。

リーダーは、サイバーセキュリティ部⾨のオペレーシングモデルのあり方についてもより柔軟に考えており、アウトソーシングによるセキュリティ業務を増やすことを検討しています（中央値はセキュアクリエイターが25%、プローンエンタープライズが15%）。また、将来的にそれ以外の機能や能⼒も第三者の専⾨家にアウトソースするとした回答も多く⾒られました（同46%、同31%）。アウトソーシングにより、社内の⼈材では対応できない特殊なサイバーセキュリティ機能を専⾨の事業者に任せられるため、社内のサイバーセキュリティ機能の簡素化が可能となります。セキュアクリエイターは、労働力の必要性を減らすため、セキュリティプロセスの標準化と⾃動化を注力しており（同グループ：35%、プローンエンタープライズ：26%）、こうした取り組みも簡素化につながっています。

企業は、セキュリティ業務の運用において、「⼈材とプロセス」をアウトソースする傾向を強めていますが、技術面についてはより慎重になっています。多くが、マルチテナント型のテクノロジーソリューションを委託企業からホスティングしてもらうのではなく、アウトソーシングやコソーシングにより得られるスキルや⼈材⾯のメリットを享受しながら、⾃社独⾃のニーズやリスク選好に合わせて設定した自社専用のクラウド環境でテクノロジーを運用することを望んでいます。これは、第三者の委託企業の知的財産にアクセスできるといったメリットもあります。

さらに興味深い取り組みとして、企業は事業部⾨とセキュリティチームの間の調整役の設置を進めています。この調整役を担うのが、いわゆる「コンサルティング」機能です。同機能は、セキュリティチームと事業部門を広範につなぎ、何が必要かを把握し、サイバー⾯の考慮事項を事業戦略に反映させます。⼀部の企業では、サイバーコンサルタントチームが、6カ⽉から9カ⽉にわたって「リフト・アンド・シフト」のプロセス管理を試⾏しています。この取り組みは、セキュアな開発サイクルを実⾏し、関連する人材に研修を提供し、その後新しい業務に移行するという流れを通じて、新しいスキル導入を促進し、社内チームに実践を通じた学びの機会の提供を促進します。

サイバーセキュリティは、単に資産を守ることだけが目的ではありません。対策が功を奏すれば、組織全体のイノベーションと価値創造を加速的に促進させることができます。EYがサポートしたクライアントの事例によると、優れた成果を挙げている企業はサイバーセキュリティを組織の隅々にまで浸透させています。サイバーセキュリティを組織とオペレーティングモデルのあらゆる部分に組み込むことで、セキュリティ機能はビジネス活動の阻害要因ではなくバリュードライバーとなることができます。

セキュアクリエイターは、自組織のサイバーセキュリティ対策について、以下の領域にプラスの影響を及ぼしていると回答しています：変⾰とイノベーションのスピード（同グループ：56%、プローンエンタープライズのCISO：25%）、市場機会に迅速に対応する能⼒（同58%、同29%）、価値を守るだけでなく創造する能⼒（同63%、同42%）。価値創造にはさまざまな形があります。有効性の高いサイバーセキュリティ体制を確立している企業は、顧客やサプライヤーからの信頼が厚いため、より安⼼した取引ができると評価されています。テクノロジーアーキテクチャを再構築すれば、コミュニケーションや連携、従業員の⽣産性などの向上や、⽀出の効率化も期待できます。

ある 大手小売企業の例では、セキュリティリスクの⾼まりを受け、セキュリティ体制の変革を行いました。その結果、脆弱性の軽減だけでなく（これも重要ではありますが）、テクノロジー関連の⽀出の効率化、不必要となったレガシーツールの撤廃、マンパワーの最適化、役割と責任の明確化、連携の効率化、10億を超える顧客基盤における信頼向上など、さまざまな価値の向上を実現しました。  

今回の調査結果から、多くのプローンエンタープライズが、イノベーションに必要なスピードとセキュリティとのバランスに苦慮していることが明らかになりました（同グループ：55%、セキュアクリエイター：42%）。これは、セキュリティ対策の有効性がいかに価値創造とイノベーションの⼟台となっているかということ、そして有効な対策が講じられなければ価値創造とイノベーションの妨げになることを示唆しています。複数のブランド、完全⼦会社や過半数所有⼦会社、あるいは提携や合弁事業のいずれによるものであれ、エコシステムの構築は価値創造における基本的な事業戦略となっています。エコシステムのメリットを最大限に活⽤するには、取り組みの初期段階からサイバーセキュリティを組み込む必要があります。CISOには、提携先を評価する際に、技術統合プロトコルを標準化し、サイバーセキュリティ基準を確実に含めることが求められます。また、事業拡⼤に伴い⽣じるリスクに適切に対処するため、経営意思決定者との効果的なコミュニケーションも不可欠です。例えば、企業買収でサイバーリスクが発⽣する可能性もあります。しかし、サイバーリスクの損害額が機会と⽐べて⼩さく⾒えるのであれば、その意思決定は他のビジネスリスクの判断と何ら変わらないものとなり、必ずしも機会の追及を⽌める必要はありません。企業に妥当なレベルのリスクはつきものです。

サイバーセキュリティ戦略をより効果的かつ価値主導なものにするためのアクション

2023年EYグローバル・サイバーセキュリティ・リーダーシップ・インサイト調査で、経営幹部は、現在直⾯し、また今後懸念されるさまざまなサイバー脅威に対処しているという、厳しい現状が明らかになりました。⼀⽅で、企業がどのようなサイバーセキュリティ戦略を講じているかということが、サイバーセキュリティ対策の成果に大きく影響していことを改めて確認することができました。ベストプラクティスから学ぶことで、企業は、サイバーセキュリティの強化に不可欠な簡素化や包括的思考、組織全体にサイバーセキュリティの考慮事項を浸透させる必要性を認識することができます。どれも、プローンエンタープライズが実践できるものです。今回の調査結果を基にEYが推奨する、企業が取るべき主なアクションは以下の通りです。

1. サイバーセキュリティの技術的対策を簡素化して、リスクの軽減と可視性の向上を図る。⾃動化とオーケストレーションにより、テクノロジー環境の複雑化を軽減して迅速な予兆検知と効果的な対応を可能にする。
2. 標準化と⾃動化により、サプライチェーンにおけるハッカーの侵⼊経路を減らし、サイバー攻撃などに対する警戒態勢を強化して、不必要で煩雑なプロセスを増やすことなくセキュリティ状況を継続的にモニタリングする。セキュリティチームは、ベンダー選定の早期段階から関与する。
3. リスクの低減、ビジネスへの影響、価値創造という3つの観点から組織全体の共感を得られるよう説明する。
4. ⼊念に設計された段階的な研修と、⾃動化ツールや防衛ツールを組み合わせて、「サイバー・セキュア・バイ・デザイン」な⼈材を育成する。
5. サイバーセキュリティを組織の隅々にまで浸透させる。ビジネス活動の阻害要因ではなく、価値を促進する機能であることを組織全体に認識させる。これにより、イノベーションに必要な⾃信を醸成し、新たな収益や市場機会を開拓することができる。

本記事の作成にあたり、EY Research InstituteのAnnMarie Pino、Mike Wheelock、Bhavnik Mitta、Business InsightsのAino Tan、Global Technology ConsultingのVanessa Loboが協力をしてくれました。この場を借りて、感謝の意を表します。